ActiveDirectoryServer e WSUSServer podem estar em um servidor? Funciona bem? Windows Server é padrão 2019
Responder1
Não. Aplicativos diferentes do servidor de arquivos AD DS + DNS + aumentam a superfície de ataque. Além disso, um banco de dados de gerenciamento de atualizações é gerenciado de maneira um pouco diferente do AD DS, em termos de implantação, manutenção e planejamento de capacidade.
Você gostaria de ter um bom motivo para substituir o isolamento no nível do host aqui e não forneceu um.
As listas de verificação de conformidade indicam o motivo de segurança, se você quiser citar algo. STIG, por exemplo:Os controladores de domínio do Windows Server devem ser executados em uma máquina dedicada a essa função
A execução de servidores de aplicativos na mesma máquina host com um servidor de diretório pode enfraquecer substancialmente a segurança do servidor de diretório. Os aplicativos de servidor da Web ou de banco de dados geralmente exigem a adição de muitos programas e contas, aumentando a superfície de ataque do computador.
Responder2
Tecnicamente, sim, você pode fazer isso.
Mas você realmente não deveria.
Um controlador de domínio deve fazer isso e somente isso (e DNS, é claro).
Detalhes técnicos adicionais: o WSUS precisa do IIS, o que significa executar um servidor web na máquina; definitivamente algo a evitar em um DC.
Aliás, se você tiver apenas um DC, crie outro. Executar um único controlador de domínio é o maior ponto de falha que você pode criar no Windows.
Se você tiver recursos limitados, instale o Hyper-V no sistema e crie máquinas virtuais para cada serviço. Ainda não é à prova de falhas (se o servidor quebrar, você está ferrado), mas pelo menos é muito mais limpo. E se algo der errado, você pode simplesmente reinstalar o Windows (ou usar um servidor físico diferente) e reiniciar as VMs. Certifique-se de fazer backups.